<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
	<title>审计安全设置 | ElasticSearch 7.7 权威指南中文版</title>
	<meta name="keywords" content="ElasticSearch 权威指南中文版, elasticsearch 7, es7, 实时数据分析，实时数据检索" />
    <meta name="description" content="ElasticSearch 权威指南中文版, elasticsearch 7, es7, 实时数据分析，实时数据检索" />
    <!-- Give IE8 a fighting chance -->
    <!--[if lt IE 9]>
    <script src="https://oss.maxcdn.com/html5shiv/3.7.2/html5shiv.min.js"></script>
    <script src="https://oss.maxcdn.com/respond/1.4.2/respond.min.js"></script>
    <![endif]-->
	<link rel="stylesheet" type="text/css" href="../static/styles.css" />
	<script>
	var _link = 'auditing-settings.html';
    </script>
</head>
<body>
<div class="main-container">
    <section id="content">
        <div class="content-wrapper">
            <section id="guide" lang="zh_cn">
                <div class="container">
                    <div class="row">
                        <div class="col-xs-12 col-sm-8 col-md-8 guide-section">
                            <div style="color:gray; word-break: break-all; font-size:12px;">原英文版地址: <a href="https://www.elastic.co/guide/en/elasticsearch/reference/7.7/auditing-settings.html" rel="nofollow" target="_blank">https://www.elastic.co/guide/en/elasticsearch/reference/7.7/auditing-settings.html</a>, 原文档版权归 www.elastic.co 所有<br/>本地英文版地址: <a href="../en/auditing-settings.html" rel="nofollow" target="_blank">../en/auditing-settings.html</a></div>
                        <!-- start body -->
                  <div class="page_header">
<strong>重要</strong>: 此版本不会发布额外的bug修复或文档更新。最新信息请参考 <a href="https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html" rel="nofollow">当前版本文档</a>。
</div>
<div id="content">
<div class="breadcrumbs">
<span class="breadcrumb-link"><a href="index.html">Elasticsearch 权威指南 [7.7]</a></span>
»
<span class="breadcrumb-link"><a href="setup.html">安装和设置</a></span>
»
<span class="breadcrumb-link"><a href="settings.html">配置 Elasticsearch</a></span>
»
<span class="breadcrumb-node">审计安全设置</span>
</div>
<div class="navheader">
<span class="prev">
<a href="secure-settings.html">« 安全设置</a>
</span>
<span class="next">
<a href="circuit-breaker.html">熔断设置 »</a>
</span>
</div>
<div class="section xpack">
<div class="titlepage"><div><div>
<h2 class="title">
<a id="auditing-settings"></a>
审计安全设置
</h2>
</div></div></div>

<p>
在集群中的每个节点的<code class="literal">elasticsearch.yml</code>配置文件中配置安全审计设置。

更多信息参考 <a class="xref" href="enable-audit-logging.html" title="Enabling audit logging"><em>启用审计日志</em></a>.
</p>
<div class="section">
<div class="titlepage"><div><div>
<h3 class="title">
<a id="general-audit-settings"></a>
一般审计设置
</h3>
</div></div></div>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.security.audit.enabled</code>
</span>
</dt>
<dd>
设置为 <code class="literal">true</code> 以在节点上启用审计。默认为 <code class="literal">false</code>。

这将在每一个节点上将审计事件写入到一个独立的文件，文件名为 <code class="literal">&lt;clustername&gt;_audit.json</code>。
</dd>
</dl>
</div>
</div>

<div class="section">
<div class="titlepage"><div><div>
<h3 class="title">
<a id="event-audit-settings"></a>
审计事件设置
</h3>
</div></div></div>
<p>
可以使用以下设置来控制事件和有关记录内容的其他信息：
</p>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.events.include</code>
</span>
</dt>
<dd>
指定要包含在审计输出中的事件。默认值为：<code class="literal">access_denied, access_granted, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted</code>.
</dd>
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.events.exclude</code>
</span>
</dt>
<dd>
从输出中排除指定的事件。默认情况下，不排除任何事件。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.events.emit_request_body</code>
</span>
</dt>
<dd>
<p>
指定是否要在某些事件类型（比如 <code class="literal">authentication_failed</code>）上记录 REST 请求的 请求体(request body)。
默认为 <code class="literal">false</code>。
</p>
<div class="important admon">
<div class="icon"></div>
<div class="admon_content">
<p>
审计时不执行任何数据过滤，因此在审计事件中包含请求体时，敏感数据可能会以纯文本形式进行审计。
</p>
</div>
</div>
</dd>
</dl>
</div>
</div>

<div class="section">
<div class="titlepage"><div><div>
<h3 class="title">
<a id="node-audit-settings"></a>
本地节点信息设置
</h3>
</div></div></div>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.emit_node_name</code>
</span>
</dt>
<dd>
指定是否在每一个审计事件中包含 <a class="xref" href="node.name.html" title="node.name">节点名称(node name)</a> 字段。默认值为 <code class="literal">false</code>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.emit_node_host_address</code>
</span>
</dt>
<dd>
指定是否在每一个审计事件中包含 节点的 IP 地址 字段。默认值为 <code class="literal">false</code>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.emit_node_host_name</code>
</span>
</dt>
<dd>
指定是否在每一个审计事件中包含 节点的宿主机名称 字段。默认值为 <code class="literal">false</code>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.emit_node_id</code>
</span>
</dt>
<dd>
指定是否在每一个审计事件中包含 节点id 字段。

这仅适用于新格式。也就是说，这个信息不会出现在 <code class="literal">&lt;clustername&gt;_access.log</code> 文件中。

不像 <a class="xref" href="node.name.html" title="node.name">节点名称(node name)</a> 的值可能会被管理员通过配置文件修改掉，节点id 在集群重新启动期间持续存在，管理员无法更改它。

默认为 <code class="literal">true</code>.
</dd>
</dl>
</div>
</div>

<div class="section">
<div class="titlepage"><div><div>
<h3 class="title">
<a id="audit-event-ignore-policies"></a>
审计日志文件事件忽略策略
</h3>
</div></div></div>
<p>
这些设置会影响<a class="xref" href="audit-log-output.html#audit-log-ignore-policy" title="Logfile audit events ignore policies">忽略策略(ignore policies)</a>，这些策略支持细粒度控制哪些审计事件被打印到日志文件中。

所有具有相同策略名称的设置会组合成一个策略。

如果一个事件与特定策略的所有条件匹配，则将忽略该事件而不打印它。
</p>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.events.ignore_filters.&lt;policy_name&gt;.users</code>
</span>
</dt>
<dd>
用户名或通配符的列表。指定的策略不会为匹配这些值的用户打印审计事件。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.events.ignore_filters.&lt;policy_name&gt;.realms</code>
</span>
</dt>
<dd>
身份验证领域(authentication realm)的名称或通配符的列表。
指定的策略不会为匹配这些领域的用户打印审计事件。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.events.ignore_filters.&lt;policy_name&gt;.roles</code>
</span>
</dt>
<dd>
角色名称或通配符的列表。指定的策略不会为匹配这些角色的用户打印审计事件。

如果用户有多个角色，有部分角色<span class="strong strong"><strong>不在</strong></span>策略中，则该忽略策略<span class="strong strong"><strong>不</strong></span>涵盖该事件<span style="color:#666;">（译者注: 即该事件不会被忽略）</span>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.security.audit.logfile.events.ignore_filters.&lt;policy_name&gt;.indices</code>
</span>
</dt>
<dd>
索引名称或通配符的列表。

指定的策略不会为匹配这些值的所有索引打印审计事件。

如果事件涉及多个索引，其中一些索引<span class="strong strong"><strong>不</strong></span>包括在策略中，则策略将<span class="strong strong"><strong>不</strong></span>涵盖此事件。
</dd>
</dl>
</div>
</div>

</div>
<div class="navfooter">
<span class="prev">
<a href="secure-settings.html">« 安全设置</a>
</span>
<span class="next">
<a href2="circuit-breaker.html">熔断设置 »</a>
</span>
</div>
</div>

                  <!-- end body -->
                        </div>
                        <div class="col-xs-12 col-sm-4 col-md-4" id="right_col">
                        
                        </div>
                    </div>
                </div>
            </section>
        </div>
    </section>
</div>
<script src="../static/cn.js"></script>
</body>
</html>